Generalny Inspektor

Ochrony Danych Osobowych

ul. Stawki 2, 00-193 Warszawa

www.giodo.gov.pl

kancelaria@giodo.gov.pl

Organ Nadzorczy 2.0GIODO wobez wyzwań wynikających z ogólnego

rozporządzenia o ochronie danych

Paweł MakowskiRadca GIODO

www.giodo.gov.pl

REFORMA PRAWA UE

www.giodo.gov.pl

Kompetencje organu nadzorczego:

Mechanizm spójności

Administracyjne kary pieniężne

Kwestie proceduralne

Wytyczne, zalecenie, opinie, dobre praktyki

REFORMA PRAWA UE

www.giodo.gov.pl

www.giodo.gov.pl

www.giodo.gov.pl

www.giodo.gov.pl

REFORMA PRAWA UE

www.giodo.gov.pl

Nowe rozwiązania dla zwiększonego bezpieczeństwa danych

Ocena skutków ochrony danych

Uwzględnienie ochrony danych w fazieprojektowania i domyślna ochrona danych

REFORMA PRAWA UE

www.giodo.gov.pl

REFORMA PRAWA UE

W wytycznych dotyczących DPIA Grupa Art. 29 wskazuje 9 kategorii operacji przetwarzania,

które należy uznać za operacje wnoszące wysokie ryzyko naruszenia praw i wolności. Do

kategorii tych zaliczono:

1) Ewaluację lub ocenę, w tym profilowanie i przewidywanie, szczególnie „aspektów

dotyczących efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub

zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się osoby,

której dane dotyczą”.

Bank oceniający zdolność kredytowa na podstawie analizy danych z BIK.

System e-learningowy, który na podstawie ilości czasu spędzonego nad materiałami oraz

wyników testu ocenia predyspozycje (zdolności) studenta.

2. Zautomatyzowane podejmowanie decyzji wywołujących skutki prawne lub podobne

istotne skutki.

System odcinkowej kontroli prędkości, gdzie kamery rejestrują czas wjazdu na dany

odcinek i wyjazdu a następnie wyliczają średnią prędkość i przekazują dane do

wystawienia mandatu.

www.giodo.gov.pl

REFORMA PRAWA UE

3) Systematyczne monitorowanie, tj. przetwarzanie wykorzystywane do obserwacji,

monitorowania i kontroli osób, których dane dotyczą, w tym dane zbierane poprzez

„systematyczne monitorowanie na dużą skalę miejsc dostępnych publicznie”.

Rejestrowanie obrazu dla określonego miejsca, np. osób wchodzących i wychodzących

z restauracji, hotelu;

Rozpoznawanie osób z wykorzystaniem systemu rozpoznawania wizerunku i

rejestrowanie ich w bazie klientów (rozpoznanie może być wykonane bez wiedzy osób

ich dotyczących).

4) Dane wrażliwe, w tym dane obejmujące szczególne kategorie danych określonych w

artykule 9 i 10.

Rejestr dokumentacji medycznej prowadzony przez szpital;

Prywatny detektyw przechowujący dane dotyczące przestępców;

Przetwarzanie danych biometrycznych, np. system kontroli wejścia na stadion;

Dane dotyczące przeprowadzanych operacji finansowych;

Dane dotyczące lokalizacji.

www.giodo.gov.pl

REFORMA PRAWA UE

5) Dane przetwarzane na dużą skalę, tj. dane, których:

a) liczba osób, których dane dotyczą – konkretna liczba albo procent określonej grupy

społeczeństwa;

b) zakres przetwarzanych danych osobowych;

c) okres, przez jaki dane są przetwarzane;

d) zakres geograficzny przetwarzania danych osobowych.

Rejestrowanie danych dotyczących zużycia energii przez liczniki inteligentne z

częstotliwością co 15 minut;

Przetwarzanie danych lokalizacyjnych w określonym przedziale czasu, np. w

godzinach pracy;

Przetwarzanie danych osób korzystających ze środków komunikacji miejskiej (np.

śledzenie za pośrednictwem ‘kart miejskich’;

Przetwarzanie danych klientów przez banki albo ubezpieczycieli w ramach

prowadzonej działalności.

www.giodo.gov.pl

REFORMA PRAWA UE

6) Dokonano porównania lub połączenia zestawów danych: na przykład pochodzących z

dwóch lub większej liczby operacji przetwarzania prowadzonych w różnych celach i/lub

przez różnych administratorów danych w sposób, który wykracza poza racjonalne

oczekiwania osoby, której dane dotyczą.

Zastosowanie technologii BigData.

7) Dane dotyczące osób wymagających szczególnej opieki, tj. jeżeli przetwarzanie tego

rodzaju danych może wymagać DPIA ze względu na zwiększony brak równowagi sił

między osobą, której dane dotyczą, a administratorem danych, co oznacza, że osoba

może nie być w stanie wyrazić zgody na przetwarzanie jej danych lub sprzeciwić się

takiemu przetwarzaniu.

Przetwarzanie danych pracowników, uczniów;

Przetwarzanie danych osobowych osób chorych psychicznie, osób ubiegających się o

azyl, pacjentów.

www.giodo.gov.pl

REFORMA PRAWA UE

8) Innowacyjne wykorzystanie lub zastosowanie rozwiązań technologicznych lub

organizacyjnych.

Zastosowanie biometrii uniemożliwiającej zmiany wzorca biometrycznego w przypadku

utraty poufności (źródłą danej biometrycznej nie da się zmienić tak jak hasła);

Zastosowanie biometrii wielomodalnej na przykład połączenie wykorzystania odcisków

palców i rozpoznawania twarzy do usprawnienia fizycznej kontroli dostępu;

Zastosowanie tej samej metody biometrycznej w różnych systemach uwierzytelniania

(przyszłe konsekwencje łączenia danych z różnych źródeł);

Internet przedmiotów i usługi geolokalizacyjne (przetwarzanie fotografii z metadanymi

dotyczącymi lokalizacji).

www.giodo.gov.pl

REFORMA PRAWA UE

9) Gdy przetwarzanie samo w sobie „uniemożliwia osobom, których dane dotyczą,

wykonywanie prawa lub korzystania z usługi lub umowy” (artykuł 22 i motyw 91).

Dotyczy to przetwarzania prowadzonego w miejscu publicznym, którego przechodzący

ludzie nie mogą uniknąć, lub przetwarzania, którego celem jest umożliwienie, zmiana lub

odmowa dostępu osób, których dane dotyczą, do usługi lub zawarcia umowy.

Monitorowanie otoczenia bankomatu, czy monitorowanie wejścia do urzędu;

Sprawdzanie przez bank klientów w bazie informacji kredytowej;

Sprawdzanie klientów w bazie informacji gospodarczej.

www.giodo.gov.pl

Nowe rozwiązania wobec naruszeń danych

Zgłaszanie naruszeń danych

Odpowiedzialność finansowa

REFORMA PRAWA UE

www.giodo.gov.pl

REFORMA PRAWA UE

www.giodo.gov.pl

REFORMA PRAWA UE

www.giodo.gov.pl

Nowe rozwiązania dla lepszej zgodności przetwarzania danych z przepisami rozporządzenia

Kodeksy postępowania i certyfikacja

REFORMA PRAWA UE

www.giodo.gov.pl

Inspektor ochrony danych centralnym ogniwem

systemu ochrony danych osobowych

ABI -> IOD

www.giodo.gov.pl

ABI -> IOD

www.giodo.gov.pl

Doprecyzowanie treści rozporządzenia

Nowa ustawa o ochronie danych osobowych

Nowelizacja przepisów sektorowych

REFORMA PRAWA UE

Generalny Inspektor

Ochrony Danych Osobowych

ul. Stawki 2, 00-193 Warszawa

www.giodo.gov.pl

kancelaria@giodo.gov.pl

Dziękuję za uwagę!